Перейти к содержимому
Калькуляторы

HELP канал IP VPN L3 Организация канала VPN

Доброго времени суток всем!

 

Помогите разобраться, клиенту нужны каналы IP VPN L3, внутри провайдерской сети.

 

Если дешево и сердито то я так понимаю ставлю D-link DSR-150 на точках настраиваем VPN между ними и все рады!

 

Или все идет по другому и необходимо поднимать MPLS.

 

Куда копать?

 

Если не хвататет информации то отвечу на все вопросы.

 

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не обязательно поднимать mpls. Если дешёво, то есть 2 варианта:

- ставится отдельный роутер под этого клиента, все точки до роутера пригоняются вланами

- ставится роутер, умеющий vrf-lite(например, сервер с linux и ядром, умеющем netns(почти все умеют)). Это тоже самое, что и один, только на этот роутер можно будет втащить несколько клиентов, желающих L3VPN.

 

vrf-lite умеют старые Cisco типа 3550 и современные китайские l3 свитчи. это может выйте даже дешевле, чем сервер

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

s.lobanov спасибо, тоесть мой вариант не подойдет? если нет то почему? что разобраться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ксатти есть Cisco 3750 но она в работе служит маршрутизатором в сети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ксатти есть Cisco 3750 но она в работе служит маршрутизатором в сети.

 

Если она простаивает, то можно затерминировать VRF на ней, но опять же как сказал s.lobanov, необходимо тянуть вланы и терминировать их в vrf

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А в чем тогда сакральный смысл делать л3, если для этого нужно пригнать несколько разных влснов в единую точку терминации?

Зачем этот лишний геморный роутинг клиентского барахла, когда в этих условиях очевидно и проще сделать один влан на все точки и организовать л2впн?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А в чем тогда сакральный смысл делать л3, если для этого нужно пригнать несколько разных влснов в единую точку терминации?

Зачем этот лишний геморный роутинг клиентского барахла, когда в этих условиях очевидно и проще сделать один влан на все точки и организовать л2впн?

Так все равно не пойму требования заказчика IP VPN L3, L2vpn получается другое.

 

Объясните тогда как организовать IP VPN L3 , какими средствами? желательно всетаки без MPLS, точно не подойдет решение поставить какой нить Dlink маршрутизатор с VPN и настроить их друг на друга.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А в чем тогда сакральный смысл делать л3, если для этого нужно пригнать несколько разных влснов в единую точку терминации?

Зачем этот лишний геморный роутинг клиентского барахла, когда в этих условиях очевидно и проще сделать один влан на все точки и организовать л2впн?

Ответ простой - заказчик хочет l3vpn или может и не хочет, но у него уже есть куча точек л3впн. И здесь вопрос как это реализовать подешевле.

 

Кстати, крупняк тоже балуется стягиванием длинного л2 до крупных железок через свои шпд-отростки(имея mpls железо недалеко от точки включения), но там это происходит из-за централизации управления и траблшутинга.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А в чем тогда сакральный смысл делать л3, если для этого нужно пригнать несколько разных влснов в единую точку терминации?

Зачем этот лишний геморный роутинг клиентского барахла, когда в этих условиях очевидно и проще сделать один влан на все точки и организовать л2впн?

Ответ простой - заказчик хочет l3vpn или может и не хочет, но у него уже есть куча точек л3впн. И здесь вопрос как это реализовать подешевле.

 

Кстати, крупняк тоже балуется стягиванием длинного л2 до крупных железок через свои шпд-отростки(имея mpls железо недалеко от точки включения), но там это происходит из-за централизации управления и траблшутинга.

Ой не всегда. Мы тоже крупняк, причем географически разнесенный по всей стране.

Я какраз стараюсь терминировать л3 непосредственно на последней миле до филиала. В распределенной сети л2 тишутить ещё гиморнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

myst

вы вообще энтрпрайз как я понял. конечно, я не имел ввиду всех, а просто говорю о том, что подобные не очень прямые схемы(длинный л2) используют не только мусохранск-телекомы

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не, ну я понимаю "заказчик хочет". Просто судя по тому как ТС видит решение, то походу заказчику сразу нужно искать альтернативного оператора.

Задачу можно всё таки пояснить исходя из ТЗ? Может быть он не видит более эффективного способа её решения, можно же и подсказать так-то :)

 

Если он "просто хочет", то тогда делайте отдельный VRF на 3750, в него сводите вланы идущие к заказчику и роутите их там. Самый простой вариант и искать проблемы проще в 256 раз, чем в "Dlink маршрутизатор с VPN и настроить их друг на друга."

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не, ну я понимаю "заказчик хочет". Просто судя по тому как ТС видит решение, то походу заказчику сразу нужно искать альтернативного оператора.

Задачу можно всё таки пояснить исходя из ТЗ? Может быть он не видит более эффективного способа её решения, можно же и подсказать так-то :)

 

Если он "просто хочет", то тогда делайте отдельный VRF на 3750, в него сводите вланы идущие к заказчику и роутите их там. Самый простой вариант и искать проблемы проще в 256 раз, чем в "Dlink маршрутизатор с VPN и настроить их друг на друга."

Спасибо за правду! Решения еще нет как такового, только исходя из ваших опытных предложений. Вариант с Dlink мне честно самому не нравится, раньше предоставляли каналы чисто Vlana-ми, с L3 VPN ни когда не сталкивались, предложили этими Dlink но хочется уйти от этого предложения ну а уходить только вашими подсказками.

3550 Подойдет же тоже для этого дела? ВрРоде написали что да.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3550 Подойдет же тоже для этого дела? ВрРоде написали что да.

 

подойдёт. http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3550/software/release/12-2_25_see/command/reference/cr/cli1.html#wp2092542

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Самый дешевый вариант микротик поставить, а саму сеть, в том числе свою, делать исключительно на L3.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Самый дешевый вариант микротик поставить, а саму сеть, в том числе свою, делать исключительно на L3.

 

Вот как раз VRF-ы на шлакотике реализованы криво. http://forum.mikrotik.com/viewtopic.php?t=70274 , в последнем посте ссылка на мой блог, там описано в чём проблема. Не пофиксили ещё?

 

а саму сеть, в том числе свою, делать исключительно на L3.

 

Тогда для реализации L3VPN нужна поддержка mpls на всей сети и mp-bgp на всех PE

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тогда для реализации L3VPN нужна поддержка mpls на всей сети и mp-bgp на всех PE

 

Нет не нужна, достаточно поднять поверх сети IP-IP или EoIP туннель, а поверх него, с использованием еще двух микротиков, уже запустить OSPF для абонента.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ет не нужна, достаточно поднять поверх сети IP-IP или EoIP туннель, а поверх него, с использованием еще двух микротиков, уже запустить OSPF для абонента.

 

Рукалицо...

И на каждого абонента роут фильтр (а то недайбох что-то не то заанонсят) который в некротике реализован крайне криво (но-премер иногда не применяются новые фильтры без ребута девайса, причем на всех версихя ROS).

 

Ааааатличное решение, сааб! Продолжай свою антирекламу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тогда для реализации L3VPN нужна поддержка mpls на всей сети и mp-bgp на всех PE

 

Нет не нужна, достаточно поднять поверх сети IP-IP или EoIP туннель, а поверх него, с использованием еще двух микротиков, уже запустить OSPF для абонента.

 

Блин, я никак не могу понять, вы тролль, или же, действительно, так считаете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тогда для реализации L3VPN нужна поддержка mpls на всей сети и mp-bgp на всех PE

 

Нет не нужна, достаточно поднять поверх сети IP-IP или EoIP туннель, а поверх него, с использованием еще двух микротиков, уже запустить OSPF для абонента.

 

Блин, я никак не могу понять, вы тролль, или же, действительно, так считаете?

Мне кажется что он плотно на веществах сидит. Причем тяжелых. Иначе не объяснить его упорное нежелание понимать место микротика в реалиях современных сетей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не пофиксили ещё?

"Правильные" VRF'ы обещают в 7й версии, которая "скоро". Ждём.

 

По теме - а что мешает поставить по оба конца по бытовой мыльнице, просто выключив NAT? Или я что-то недопонял?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тогда для реализации L3VPN нужна поддержка mpls на всей сети и mp-bgp на всех PE

 

Нет не нужна, достаточно поднять поверх сети IP-IP или EoIP туннель, а поверх него, с использованием еще двух микротиков, уже запустить OSPF для абонента.

 

Блин, я никак не могу понять, вы тролль, или же, действительно, так считаете?

 

Его решение работать будет, а сам он продаёт шлакотики. Того глядишь кто-нибудь и купится на схему с 2-3 микротиками вместо одного устройства

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Доброго времени суток всем!

 

Помогите разобраться, клиенту нужны каналы IP VPN L3, внутри провайдерской сети.

 

Если дешево и сердито то я так понимаю ставлю D-link DSR-150 на точках настраиваем VPN между ними и все рады!

 

Или все идет по другому и необходимо поднимать MPLS.

 

Куда копать?

 

Если не хвататет информации то отвечу на все вопросы.

 

Спасибо!

 

IPVPN хотят когда надо гарантированный канал иметь, иначе все можно через DMVPN (если циска) соединить. Поэтому L3 свитчи типа Cisco 3750 тут не прокатывают. Что-нибудь из Cisco ISR G2 надо или старого зверя Cisco 1841.

Если надо выводить VLANы со свитчей доступа, то этим вланам надо назначать более высокий приоритет чем residential трафику

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поэтому L3 свитчи типа Cisco 3750 тут не прокатывают. Что-нибудь из Cisco ISR G2 надо или старого зверя Cisco 1841.

 

Рассказывайте о чём вы тут пишите. Про всякие инкаспулированные впн-ы чтоль? c3750 как ваерспид l3-свитч куда лучше чем барахло типа 1841

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И на каждого абонента роут фильтр (а то недайбох что-то не то заанонсят) который в некротике реализован крайне криво (но-премер иногда не применяются новые фильтры без ребута девайса, причем на всех версихя ROS).

 

Я же не абоненту предлагаю роутеры поставить, а оператору на свои сети для предоставления услуг абоненту, никаких проблем они не создадут. Вполне рабочее решение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.